Guia sobre como configurar o seu router para otimizar a segurança da sua rede Wi‑Fi

Um guia completo no qual explicamos como fortalecer a segurança da sua rede Wi-Fi e do seu router para impedir o roubo de informações ou a entrada de um hacker.

Normalmente, os routers domésticos possuem recursos que, quando configurados corretamente, aumentam bastante a segurança de nossa rede. Neste post, pretendemos explicar alguns deles.

Para melhorar a segurança de nossa rede, é essencial ter em consideração um dos princípios fundamentais da segurança informática: a proteção em profundidade. Este princípio baseia-se na ideia de implementar várias medidas de segurança em simultâneo, embora não sejam de grande ajuda individualmente. Com isso, procura-se que um eventual hacker tenha que evitar vários obstáculos, aumentando a probabilidade de que um deles possa detê-lo ou que notemos a sua presença antes que atinja o seu objetivo malicioso. Seguindo essa ideia, procuraremos tirar o máximo proveito das ferramentas oferecidas pelo nosso router, com o objetivo de usar o maior número de medidas de segurança simultaneamente.

É importante ter em conta que nem todos os routers têm as mesmas funcionalidades e, dependendo da marca e modelo, o nome e a seção na qual podemos encontrá-los podem variar. Por sua vez, é possível que os modem-routers fornecidos pelos ISP (Internet Service Providers) tenham recursos de configuração muito limitados. Nestes casos, é uma prática muito boa de segurança usar o nosso próprio router atrás do modem-router fornecido pelo ISP, pois é a única forma de ter controlo total sobre a rede, garantindo que nenhum operador externo possa configurá-lo remotamente.

Portanto, este artigo concentra-se em possíveis configurações de maneira geral; isto é, sem mencionar uma marca ou modelo específico, para que qualquer pessoa possa procurá-los e tentar reproduzi-los na página de configuração do seu próprio router.

Como obter o endereço IP do seu router

O primeiro passo para iniciar esta tarefa passa por aceder à configuração do router. Isto é possível inserindo o endereço IP do router num browser. Para obter o IP, basta seguir estes passos:

  1. Digite cmd no Windows / terminal no Linux.
  2. Escreva “ipconfig” no Windows / “ip r” no Linux.
  3. Procure o “default Gateway” do nosso adaptador de rede.
  4. Copie o IP e digite-o no browser.
  5. Digite o nome do utilizador e a password por defeito (ou a sua, caso tenha modificado a password anteriormente). Estas passwords podem ser encontradas procurando o modelo do router no site do fabricante. Este passo pode não ser necessário em alguns modelos.
Passo 1: No caso do Windows, inserimos cmd no mecanismo de pesquisa para abrir o prompt de comando.
Passo 2: Escreva ipconfig, pressione enter e o endereço IP aparecerá para que você possa entrar no site de configuração do nosso router.

Também é muito provável que o fabricante tenha incluído instruções equivalentes no manual do dispositivo.

Depois de entrar na página de configuração, pode começar a fazer as seguintes alterações:

Modifique o nome de utilizador e a password por defeito para a página de configuração

Os routers geralmente são configurados de fábrica com um nome de utilizador e password padrão, para que os utilizadores entrem na página de configuração e os alterem por conta própria. Se não for feita essa modificação, qualquer pessoa que conseguir aceder à nossa rede poderá aceder às configurações do router simplesmente procurando as passwords padrão no site do fabricante do router, portanto, este passo é essencial para garantir a segurança da rede.

Use passwords complexas na interface de configuração do router

No caso do site de acesso à configuração do router e do acesso às próprias redes Wi-Fi, é sempre conveniente usar passwords complexas, com pelo menos 14 caracteres alfanuméricos que incluem letras maiúsculas e símbolos e que não estão relacionados com o nosso nome, profissão, endereço, idade, aniversário, animal de estimação, etc. Ou seja, siga as boas práticas para escolher passwords.

Controlo de acesso à rede: filtragem de dispositivos através do endereço MAC

Esta prática consiste em filtrar quais os dispositivos que se podem ligar à nossa rede, mesmo que tenham uma ligação física ou a password correta no caso da ligação Wi-Fi. Esta restrição é geralmente aplicada aos endereços MAC e existem duas formas de a implementar:

  • Blacklist: todos os dispositivos incluídos nesta lista não poderão aceder à rede.
  • Whitelist: todos os dispositivos incluídos nesta lista poderão aceder à rede.

Como regra geral, em aplicações de segurança, é geralmente conveniente filtrar usando a whitelist. Isto faz sentido, pois você conhece todos os dispositivos que possui, mas não conhece todos os dispositivos que não possui. Assim, o objetivo desta regra é restringir o acesso à rede, permitindo apenas os dispositivos que conhece e que sabe que são confiáveis. Isto é muito útil caso em hacker tenha conseguido obter a password da nossa rede Wi-Fi e tenha a intenção de entrar para continuar o seu ataque internamente.

Desative a opção de gestão remota do router

Esta configuração permite que um dispositivo dentro da rede aceda à página web de configuração do router via Wi-Fi. Embora nem sempre seja possível, é recomendável que esta configuração seja desativada, para que apenas os dispositivos fisicamente ligados ao router através de um cabo possam configurá-lo. O objetivo é que, mesmo que um hacker consiga violar a segurança da rede Wi-Fi, não possa aceder a essas configurações, a menos que comprometa um dispositivo que pertence à rede com fio.

Alguns routers têm a capacidade de filtrar ainda mais esse acesso, especificando exatamente quais os dispositivos com fio que podem aceder, o que acrescenta ainda mais segurança. Essa configuração geralmente é feita através de uma whitelist com os endereços MAC dos dispositivos permitidos.

Protocolo de segurança da rede Wi-Fi

Se você deseja proteger a nossa rede Wi-Fi com uma senha, tanto para impedir atacantes quanto para maximizar a nossa segurança e privacidade, será necessário escolher o protocolo de segurança a ser usado. As opções normalmente disponíveis nos routers domésticos são três: WEP, WPA e WPA2. Atualmente, o uso de WEP e WPA é desencorajado, pois esses protocolos não são tão seguros como o WPA2 e existem até vários ataques contra eles. Caso não disponha da opção WPA2, a opção WPA será a segunda melhor, pois o WEP é muito inseguro.

Depois de escolhido o WPA2, existem duas opções: pessoal e enterprise. Para uso doméstico, a versão pessoal é a aconselhável, pois a versão enterprise exige a instalação de um servidor Radius para administrar as passwords.

Escolhida a opção WPA2 pessoal, podemos encontrar duas outras opções relacionadas com o algoritmo de encriptação que a nossa rede usará: AES ou TKIP. Como o TKIP é um algoritmo mais antigo e considerado menos seguro, é aconselhável usar o AES.

Isole dispositivos ligados através de Wi-Fi

Muitos routers contam com a funcionalidade de isolar dispositivos que se ligam à rede Wi-Fi, para que não se possam comunicar, mas podem ligar-se à Internet. É recomendável ativar esta configuração, pois representa um grande obstáculo para quem consiga ligar-se à rede e pretenda comprometer outros dispositivos ligados à mesma.

É de notar que esta configuração pode limitar certas funcionalidades legítimas, por exemplo, aceder a uma impressora para imprimir documentos através da rede Wi-Fi. Nestes casos, deve-se avaliar se deseja priorizar a funcionalidade ou segurança fornecida por esta configuração.

Rede oculta / SSiD oculto

Embora a ativação desta configuração não forneça segurança contra um hacker experiente, ajuda a que a rede passe mais despercebida e adiciona outro obstáculo para quem pretenda entrar de maneira não autorizada. Lembre-se de que os utilizadores legítimos que desejam fazer login devem executar alguns passos extras, portanto, não é uma configuração conveniente para usar em redes de convidados.

Desative WPS

O WPS ou Wi-Fi Protected Setup é um padrão desenvolvido pela Wi-Fi Alliance para facilitar a configuração de redes Wi-Fi pelos utilizadores. Atualmente, o seu uso não é aconselhável, uma vez que são conhecidas vulnerabilidades sérias em alguns mecanismos usados ​​por essa norma que podem ser usados ​​por um hacker para aceder facilmente à rede. Portanto, é recomendável procurar as configurações correspondentes e desativar o WPS.

Configure uma rede de convidados

A maioria dos routers domésticos modernos oferece a possibilidade de criar uma rede de convidados. Basicamente, seu objetivo é configurar uma rede paralela à principal para que todos os utilizadores visitantes se liguem à mesma. Essa rede geralmente pode ser configurada com os seus próprios protocolos de segurança, SSID, password, etc. Para além disso, é conveniente seguir o maior número possível de recomendações mencionadas neste post.

Este item é extremamente importante do ponto de vista da segurança digital, pois responde a um de seus princípios básicos: que cada utilizador possa aceder apenas à quantidade mínima de recursos necessários. Imagine a seguinte situação:

Organiza uma festa em casa e convida muitos amigos, que por sua vez trazem os seus amigos e outros colegas que não conhece. Como todos desejam aceder à Internet, partilha a password da rede Wi-Fi.

Se não tiver uma rede de convidados, todas essas pessoas que não conhece terão acesso ilimitado à rede em que os seus dispositivos estão localizados. Ou seja, à rede em que pode ter informações confidenciais, onde realiza atividades bancárias etc. Isto representa um risco muito grande, já que qualquer uma dessas pessoas pode ter intenções maliciosas e, mesmo que essa pessoa não realize nenhuma naquele momento, poderá voltar mais tarde e ligar-se à sua rede do lado de fora da sua casa sem o seu conhecimento. E mesmo que todas essas pessoas sejam de confiança, não existe a garantia de que os seus dispositivos não tenham sido comprometidos anteriormente e estejam a ser usados ​​como uma plataforma para lançar novos ataques.

O principal benefício da rede de convidados será separar e compartimentar os dispositivos em que confiamos daqueles em que não confiamos. Portanto, esta configuração é essencial para a segurança de qualquer rede doméstica (no caso de redes empresariais, existem configurações ainda mais sofisticadas).

Nome genérico da rede

É muito conveniente, além do item anterior, usar nomes de rede genéricos que não possam ser associados ao local, endereço, proprietários ou membros da rede. Embora este ponto não forneça segurança por si só, é útil caso o atacante seja, por exemplo, um vizinho, alguém que conhece ou que está a tentar de forma dirigida. Por exemplo, se morar em um prédio e tiver um vizinho chamado João, que conhece; ao observar que existe uma rede Wi-Fi chamada Rede_Do_João, pode tentar entrar nessa rede através de um ataque que usa passwords geradas a partir de informações relacionadas com o João: aniversário, nome dos seus filhos, número do apartamento, etc (o que não seria possível se João tivesse usado boas práticas para escolher uma password). O objetivo do uso de nomes genéricos de rede é não fornecer informações adicionais a um eventual hacker.

ARP binding / Ligação ARP 

As tabelas ARP são usadas para associar um endereço IP a um endereço MAC e são extremamente necessárias para a operação de protocolos de comunicação; portanto, cada dispositivo de rede possui a sua própria tabela ARP e o router não é exceção.

Como sabemos, o protocolo ARP é usado para comunicar informações que serão armazenadas nas tabelas ARP. No entanto, ele não realiza nenhum tipo de autenticação ou verificação da integridade das informações que administra, portanto, um hacker pode alterar arbitrariamente as informações nessas tabelas. Este é um grande problema de segurança, pois alterar essas informações pode levar a ataques de DoS, MITM, etc.

Como essas tabelas podem mudar dinamicamente com base nas informações recebidas e essas informações podem ser maliciosas, uma possível medida a ser tomada é definir tabelas ARP nas quais algumas entradas são estáticas e não são alteradas dinamicamente. Essa medida é conhecida como ligação ARP ou “ARP binding” e consiste em vincular um endereço MAC a um endereço IP para que a entrada da tabela não possa ser modificada e, portanto, nenhum dos endereços possa ser associado a outro endereço dinamicamente.

Assim, é recomendável vincular o endereço MAC dos dispositivos conhecidos ao endereço IP para evitar que sejam vítimas de ataques MITM ou outros ataques baseados em ARP poisoning.

Firewall e proteção DoS

Muitos routers possuem recursos como Firewall SPI e mecanismos de controlo de ataques DoS. O firewall SPI é usado para controlar o tráfego que passa pela rede, analisando o estado das ligações e suas características. Caso encontre tráfego incomum ou malicioso, são tomadas medidas para interromper ou bloquear essas comunicações. É conveniente que essa funcionalidade seja ativada, pois representa mais uma medida de proteção contra um eventual hacker.

O controlo anti-DoS funciona monitorizando o tráfego em busca de floodings ou inundações de pacotes, ou seja, para um ou mais hosts que enviam um número muito elevado de pacotes num período muito curto para saturar a rede. Algumas variantes de ataques DoS que geralmente são contempladas em routers domésticos são:

  • ICMP flood: a rede é inundada com pacotes ICMP.
  • UDP flood: a rede é inundada com pacotes UDP.
  • SYN flood: a rede é inundada com pacotes TCP SYN.

Geralmente, quando um host de rede é encontrado realizando um desses ataques, é bloqueado automaticamente.

É importante considerar que, embora essa funcionalidade também seja muito positiva em termos de segurança, dependendo da sua configuração, pode consumir muitos recursos do router. Por sua vez, se a rede em questão for uma rede doméstica segura e controlada, esses ataques podem não acontecer habitualmente. Portanto, será necessário levar em consideração o custo/benefício e, se você optar por usá-lo, esteja atento ao desempenho durante o processo de configuração para encontrar um que não cause impacto negativo.

Desative serviços não utilizados

Todos os serviços ou configurações que não são usados ​​devem ser desativados. Isso acontece porque cada serviço que abre uma porta, aceita ligações externas ou permite algum tipo de acesso pode tornar-se num eventual vetor de ataque à rede. Portanto, quanto menor a quantidade de serviços e portas abertos, as opções que um atacante terá para comprometer a rede também serão menores. Alguns exemplos disso são: UPnP, zonas DMZ, NAT forwarding, etc.

Atualize firmware

É uma boa prática manter o firmware do router atualizado para a versão mais recente. Isto é da maior importância, pois quando novas versões são lançadas, os fabricantes tendem a corrigir falhas, adicionar novos recursos, aprimorar os existentes e corrigir vulnerabilidades de segurança. É importante observar que as novas versões de firmware devem ser descarregadas exclusivamente do site oficial do fabricante do router, pois, caso contrário, não terá garantias da sua integridade.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*